3 votos

LRR avatar

Restaure un iMac potencialmente comprometido - el mejor curso de acciones

Preguntado el 28 de Abril, 2017
Cuando se hizo la pregunta
166 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Abierta
Estado actual de la pregunta

Larga historia corta, un amigo mío recibió un "no reconocido de IP de inicio de sesión exitoso" alerta sobre una cuenta de Microsoft mail que él posee. Las condiciones de la "hack" (tiempo, la contraseña utilizada etc) son tales que la única opción viable que no es un "falso positivo" de alerta (lo que es muy probable) es que la contraseña de alguna manera era robado desde el cliente - un iMac - se utiliza para crear la cuenta en un muy corto periodo de tiempo (el "compromiso" de que la fecha está a sólo 5 minutos después de que el original de creación de la cuenta) - si te gusta, usted puede encontrar más detalles en esta pregunta sobre la Seguridad de la Información.

De todos modos, el punto es que si hubo un compromiso, entonces debe haber algún keylogger o similares de malware en la máquina. Hice una búsqueda básica, pero no encontré nada. También traté de instalar Little Snitch, pero los filtros de red no muestra nada sospechoso.

Dicho esto, ya no puedo encontrar ninguna infección a quitar ni puedo estar seguro de que la alerta de mi amigo recibió fue un falso positivo, yo estaba planeando ", restaurar o reinstalar/formato de" la máquina, incluso si eso significa sacrificar todos los datos contenidos en ella. Pero debo admitir mi ignorancia... aunque también tengo un iMac nunca he tenido la necesidad de restaurar después de un cierto compromiso, así que realmente no saben cómo proceder.

Por tanto, estoy pidiendo sugerencias sobre el mejor enfoque aquí. Supongo que voy a tener que descargar una iso del sistema operativo en algún lugar en el sitio de Apple y, a continuación, utilizar para restaurar el sistema, pero no estoy seguro. Esta página parece indicar que debo entrar a "Modo de Restauración" y de.... pero... ¿eso quiere decir que la "restauración" componente sigue atado a las actualmente instaladas en el sistema operativo y que podría haber sido comprometida también en una manera que podría dar una infección de la capacidad para sobrevivir al "limpiar"?

Lo siento si preguntas parece un poco confundido o paranoico, pero habiendo encontrado ningún rastro de la supuesta infección por ahora estoy empezando a evaluar cualquier posibilidad.

Preguntado el 28 de Abril, 2017 por LRR

Respuesta

¿Demasiados anuncios?

2voto

paper1111 avatar
paper1111 Puntos 110

He aquí cómo detectar keyloggers:

Ejecutar este comando en la terminal: kextstat

Algo como esto debería aparecer:

Index Refs Address            Size       Wired      Name (Version) UUID <Linked Against>
    1   90 0xffffff7f80a46000 0x9d90     0x9d90     com.apple.kpi.bsd (16.5.0) D4161E07-43B8-4D47-ABFE-7DF2D693ED9A
    2    8 0xffffff7f80dff000 0x3940     0x3940     com.apple.kpi.dsep (16.5.0) 6B33C49C-82D8-4830-AC91-ECF9B9EE3A8C
    3  116 0xffffff7f80a04000 0x21040    0x21040    com.apple.kpi.iokit (16.5.0) E2BA46F4-C06A-4ACE-81E5-D9A4B6E061AA
    4  122 0xffffff7f80a26000 0xd200     0xd200     com.apple.kpi.libkern (16.5.0) 21ABA52A-C45A-4A1B-8824-F6EB5295ADDE
    5  110 0xffffff7f80a00000 0x3dd0     0x3dd0     com.apple.kpi.mach (16.5.0) E18B885B-776C-4F3A-88D4-C823FAFE12A1
    6   61 0xffffff7f80a34000 0xbbf0     0xbbf0     com.apple.kpi.private (16.5.0) F0CD0AC2-92DF-4FF9-80A5-21B68641D28E
    7   71 0xffffff7f80a40000 0x5890     0x5890     com.apple.kpi.unsupported (16.5.0) 4AE97C68-EB51-4545-A2EB-007EE5A66503
    ...
  140    0 0xffffff7f81f9e000 0x9000     0x9000     com.apple.filesystems.autofs (3.0) E79E1801-8AB8-3BB1-A1F2-3CA5F9C7C648 <139 7 6 5 4 3 1>
  142    0 0xffffff7f8272a000 0x18000    0x18000    com.apple.driver.AGPM (110.23.17) 3E92E313-274C-3175-A659-2CB88F03A707 <115 108 99 89 12 6 5 4 3>
  143    0 0xffffff7f823f4000 0x5000     0x5000     com.apple.driver.AppleHWSensor (1.9.5d0) AFB68EC7-205B-3499-B796-DAE93A4BA543 <5 4 3>
  144    0 0xffffff7f83463000 0x5000     0x5000     com.parallels.virtualhid (1.0.3 3) B0C355DF-4268-359B-9654-0A67F4305F7B <37 5 4 3 1>

Así que mi primer 143 kexts todos empiezan con la com.apple, por lo que debe estar seguro (a menos que alguien de Apple utiliza el id de paquete, así que mira de cerca a cada uno y ver si hay algo mal con el nombre) y tengo instalado el parallels, por lo que debe ser seguro también.

El próximo comprobar si una de las extensiones de enlaces en contra de algo que no tiene sentido, como un audio de extensión de la vinculación con una red de la biblioteca. Usted puede ver lo que están vinculados a mirar el interior de los corchetes angulares <>. Por ejemplo, el artículo 114 (com.parallels.virtualhid) se vincula con el elemento 1, que es com.apple.kpi.bsd. como 1 está dentro de los corchetes angulares (<37 5 4 3 1>)

Si encuentra algo sospechoso, quitar, pero antes de continuar, asegúrese de que usted tiene el derecho extensión del kernel. Deshabilitar el mal extensión del kernel puede hacer la vida muy difícil. Generalmente se encuentran en System/Library/Extensions y terminan con la extensión .kext.

Ahora, si realmente quieres volver a instalar macOS, siga estos pasos:

  1. Copia los archivos que usted necesita a otro lugar
  2. Arrancar en modo de recuperación:
    Apague el ordenador, a continuación, encienda mientras que la celebración de Comando-R.
  3. Borrar el equipo:
    Selecciona "Utilidad de Disco" en el menú
    Disk Utility Haga clic en Borrar y confirmar los diálogos (Puede tomar un tiempo para borrar) Erase
  4. Vuelva a instalar macOS
    Seleccione "instalar macOS"
    reinstall
    Siga sus instrucciones
  5. Completa!

Tenga en cuenta que la instalación puede tardar mucho tiempo, especialmente cuando la conexión a internet es lenta ya que en realidad se descarga el sistema operativo desde el internet.

Respondido el 28 de Abril, 2017 por paper1111 (110 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X